动态控制防火墙firewalld 1.2 版本已经发布,以 nftables 和 iptables 数据包过滤器包装器的形式实现。 Firewalld 作为后台进程运行,允许您通过 D-Bus 动态更改数据包过滤规则,而无需重新加载数据包过滤规则或中断已建立的连接。 该项目已在许多 Linux 发行版中使用,包括 RHEL 7+、Fedora 18+ 和 SUSE/openSUSE 15+。 Firewalld 代码是用 Python 编写的,并根据 GPLv2 许可证获得许可。
要管理防火墙,请使用firewall-cmd实用程序,该实用程序在创建规则时不是基于IP地址、网络接口和端口号,而是基于服务名称(例如,要开放对SSH的访问,您需要运行“firewall-cmd —add —service=ssh”,关闭SSH –“firewall-cmd –remove –service=ssh”)。 要更改防火墙配置,还可以使用firewall-config (GTK) 图形界面和firewall-applet (Qt) applet。 NetworkManager、libvirt、podman、docker 和fail2ban 等项目支持通过 D-BUS APIfirewalld 进行防火墙管理。
主要变化:
- snmptls 和 snmptls-trap 服务已实现,用于通过安全通信通道处理对 SNMP 协议的访问。
- 已实现支持去中心化文件系统 IPFS 中使用的协议的服务。
- 添加了支持 gpsd、ident、ps3netsrv、CrateDB、checkmk、netdata、Kodi JSON-RPC、EventServer、Prometheus node-exporter、kubelet-readonly 以及受保护版本的 k8s 控制器平面的服务。
- 添加了“--log-target”选项。
- 添加了故障安全启动模式,在指定规则出现问题时,该模式允许回滚到默认配置,而不会导致主机不受保护。
- Bash 现在支持使用规则的命令完成。
来源: opennet.ru